中国が支援するサイバー攻撃グループAPT41、「少なくとも」米国6州のネットワークに侵入

サイバーセキュリティ大手Mandiant(マンディアント)によると、金銭的動機に基づく活動と並行してスパイ活動を行うことで知られる、活発な中国のハッキンググループ「APT41」が、米国の複数の州政府のネットワークに侵入した。

このグループは、2020年にAPT41のメンバー5人が米国で起訴されたことにもめげず、少なくとも米国6州のネットワークを標的にして数カ月にわたる活動を行い、侵入に成功した。これらの州にはMandiantから通知が送られたが、州名は明かされなかった。

2021年5月から2022年2月にかけてこのハッキンググループは、脆弱なインターネット向けウェブアプリケーションを利用して、州ネットワークへの最初の足がかりを得た。これには、18の州が動物の健康管理に使用しているUSAHerdsというソフトウェアアプリケーションのゼロデイ脆弱性や、ユビキタスJavaロギングライブラリであるApache Log4jの、現在有名になっているいわゆるLog4Shellの脆弱性の悪用が含まれていた。

Mandiantによると、APT41は2021年12月にApache Foundationがこの脆弱性について公に警鐘を鳴らしてから数時間でLog4Shellを悪用し始め、2州の政府ネットワークや保険・通信業界の他のターゲットが侵害されるに至った。ネットワークへの足がかりを得たAPT41は「大規模」なクレデンシャル収集を行った。

今回の調査ではまた、APT41が使用するさまざまな新しい技術、回避方法、能力も明らかにされた。ある事例では、APT41が独自ウェブアプリケーションのSQLインジェクションの脆弱性を利用してネットワークにアクセスした後(この活動はMandiantによって阻止された)、2週間後に再び戻ってきて、まったく新しいゼロデイ・エクスプロイトでネットワークを再び侵害した。また、このグループは、マルウェアを被害者の環境に合わせ、特定のフォーラムの投稿で暗号化されたデータを頻繁に更新し、マルウェアが攻撃者のコマンド&コントロールサーバから指示を受けることができるようにしていた。

Mandiantは、ハッカーが個人を特定できる情報を流出させた証拠を確認したと述べたが、これは一般的にスパイ活動によくあることで、活動の目的は依然として不明だ。

Mandiantの主席脅威アナリストであるGeoff Ackerman(ジェフ・アッカーマン)氏は、ウクライナ侵攻を受けて世界がロシアのサイバー脅威の可能性に注目している一方で、今回の調査は、世界中の他の主要な脅威要因が通常通り活動を継続していることを思い出させるものだ、と述べた。

「特に、最も活発な脅威組織の1つであるAPT41の活動が今日まで続いているという我々の調査を踏まえると、他のサイバー活動を見過ごすことはできません」とアッカーマン氏は話した。「APT41はまさに持続的な脅威であり、直近の活動は、米国の州レベルのシステムがロシアだけでなく、中国などの国家支援ハッカーから容赦なく圧力を受けていることを改めて認識させるものです」。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

Alexa機器に不正コマンドをしゃべらせてドア解錠や不正注文させる攻撃「Alexa vs Alexa」が報告される―すでに対応済み

Alexa機器に不正コマンドをしゃべらせてドア解錠や不正注文させる攻撃「Alexa vs Alexa」が報告される―すでに対応済み

Engadget

Amazon Echo製品自らに音声コマンドをしゃべらせることで、ハッカーがドアの解錠や電話を掛けさせたり、意に沿わない発注や電子レンジなどスマート家電を乗っ取れる新たな攻撃方法が発見されたと報告されています。

この攻撃を報告したのは、ロンドン大学ロイヤル・ホロウェイ校とイタリア・カタニーナ大学の研究者らです。ざっくり言えば、Alexaの音声コマンドを含む音声ファイルをEcho機器のスピーカーで再生させるというもの。それにより近くに不審なスピーカーを置かなくとも、長時間にわたってEcho機器の制御を奪えるわけです。「Alexa vs Alexa」(AlexaによりAlexaを攻撃)ということで、「AVA」と名付けられています。

「AvA」は、攻撃者のデバイスが脆弱なEchoデバイスと接続されるところから始まります。それ以降、攻撃者は音声合成アプリなどを使ってEcho製品側のスピーカーにしゃべらせることで、任意の音声コマンドを実行できるとのこと。音声にウェイクワード(「アレクサ」など)が含まれ、その後に実行可能なコマンドが続くと実行され、口頭での確認を要求する場合でも、コマンドを発行してから約6秒後に「はい」という言葉を追加すれば、この措置をかんたんに回避できるそうです。Alexa機器に不正コマンドをしゃべらせてドア解錠や不正注文させる攻撃「Alexa vs Alexa」が報告される―すでに対応済み

次にあるのは、AvAが実際に動作している動画です。1:40~2:14の間にあるものを除き、あらゆるコマンドが実行できていることが確認できます。

また「FVV」(フルボイス脆弱性)と呼ばれる脆弱性を使うことで、自己発行コマンドの認識率を倍にして、追加のコマンドも実行しやすくなるとのこと。これはEcho機器がコマンドを聴き取るときの「デバイスの音量を一時的に下げる」動作をなくすと説明されています。

もっとも、この研究を受けてアマゾン側がセキュリティパッチを公開したため、論文で示された攻撃はできなくなっているそうです。研究者らは、この攻撃が第3世代および第4世代のEcho Dotデバイスに対して有効だったことを確認しています。

不正な買い物であればメールが送られてきますが、パスワードや個人情報を抜き取ったり、被害者が発言した内容をすべて傍受してデータベースに保存できる「マスク攻撃」という手口は気づくのが困難と思われます。

スマートライトは93%の成功率で制御でき、アマゾンへの不正注文は100%、リンクされたカレンダーは88%の確率で改ざんできたとのことです。実際に被害があったのかどうかは不明ですが、アマゾンが速やかに対応したのは不幸中の幸いと言えそうです。

(Source:Cornell University。Via Ars TechnicaEngadget日本版より転載)

単純なセキュリティバグが大学キャンパスの「マスターキー」になっている

Erik Johnson(エリック・ジョンソン)氏は、大学のモバイル学生IDアプリがまともに使えなかったとき、何か回避方法はないかと探した。

そのアプリはかなり重要で、彼の通っている大学の学生は、これを使って食事代を払ったり、イベントに参加したり、さらには寮の部屋や研究室を始めキャンパスのさまざまな施設の鍵を開けることもできる。GET Mobile(ゲット・モービル)と呼ばれるそのアプリを作ったのはCBORD(シーボード)というテクノロジー企業で、病院や大学にアクセス制御や決済のシステムを提供している。しかしジョンソン氏(およびアプリのレビューに不満の星1つをつけた多くの人たち)は、アプリは動きが遅くロードに時間がかかりすぎると言っていた。もっといい方法があるはずだ。

そして彼は、寮室の鍵を開けた瞬間のアプリのネットワークデータを解析することで、ネットワークリクエストを再現することに成功し、iPhoneのショートカットボタンを1タップするだけでドアを解錠できるようになった。ただしこのショートカットが動作するためには、自分の正確な位置情報をアンロックリクエストと一緒に送る必要があり、それがないと鍵は開かない。ジョンソン氏は、セキュリティの観点からこのアプリを使ってドアを解錠する際に学生は物理的にドアの近くにいなくてはならないようになっていると語った。キャンパス内のあちこちで誤ってドアが開いてしまうことを防ぐための措置だ。

まずはうまくいったが、ここでやめる必要はある?アプリを使わずにドアをアンロックできるとしたら、他にどんな動作を再現できるだろうか?

ジョンソン氏は広く助けを求める必要がなかった。CBORDは、APIを通じて使えるコマンドの一覧表を公開しており、APIは学生の識別情報(例えば彼自身の)を使って制御することができた(各APIでは、インターネットを通じて2つの実体がやり取りすることが可能で、この場合はモバイルアプリと大学の学生データが保存されているサーバー)。

しかし、すぐに彼はある問題を見つけた。APIは学生の識別情報が有効であるかどうかをチェックしていなかった。つまりこれはジョンソン氏、あるいはインターネット上の誰でもが、このAPIを使って他のあらゆる学生のアカウントを、パスワードを知る必要なく乗っとることができるを意味している。ジョンソン氏によると、APIは学生のユニークIDだけをチェックしていたが、ときとしてそのIDは大学が発行した学生のユーザー名あるいは学生ID番号であり、大学によってはオンライン学生名簿で公開しているため秘密とはいえないと同氏は警告した。

ジョンソン氏はこのパスワードバグを、大学の「マスターキー」と評した、少なくともCBORDで制御されているドアに対しての。解錠するためにドアの近くにいなくてはならないという要件についても、バグのおかげで物理的にそこにいるとAPIを思い込ませることができたとジョンソン氏は言った。鍵そのもののおおよその座標を送るだけでよかった。

バグはAPI自身にあることから、他の大学にも影響を与えている可能性があるとジョンソン氏はいうが、アカウントのアクセス境界を超えることを恐れて、チェックはしていない。代わりに彼は、バグをCBORDに報告する手段を探したが、同社のウェブサイトで安全な専用メール窓口を見つけることはできなかった。彼は電話サポートにつないで脆弱性を報告したが、サポート担当者は、会社にセキュリティ窓口はないと答え、バグは大学を通じて報告するように言われた。

このバグは容易に悪用が可能(すでに実行されているかもしれない)であることを踏まえ、ジョンソン氏はTechCrunchに、脆弱性の詳細をCBORDに伝えるよう依頼した。

脆弱性はTechCrunchが2月12日に会社に連絡を取ってからまもなく解決した。CBORDの最高情報責任者、Josh Elder(ジョシュ・エルダー)氏はメールで、問題の脆弱性は解決済みであり、セッションキーは無効化されため、残存していた可能性のあるAPIへの不正アクセスも遮断されたことを確認した。エルダー氏は、CBORDの顧客に通知を送ったと言ったが、メール内容をTechCrunchに知らせることは拒んだ。CBORDを使用している別の組織のセキュリティ担当幹部は、CBORDからその脆弱性に関する通知を受けていない、とTechCrunchに話した。果たしてCBORDが、ユーザーやアカウント保有者、例えばジョンソン氏のような学生に通知するつもりがあるのかどうか、わかっていない。

エルダー氏はジョンソン氏の発見に異議を唱えなかったが、会社がログを保存しているか、あるいはAPIの悪用を検知する仕組みがあるのかという質問に対してそれ以上の回答を拒んだ。TechCrunchは同社広報担当者に追加質問への回答を要求したが、その後連絡を受けていない。

遠隔からドアを解錠できる脆弱性をCBORDが修正しなくてはならなかったのはこれが初めてではない。Wiredは2009年に、ドアの解錠コマンドを傍聴することで次のシーケンス番号を予測し、IDカードの要求を回避できることを報じた。

画像クレジット:Olena Ruban / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

不正なサードパーティアプリの発見を支援するAstrix Securityがステルスから登場

サードパーティアプリ統合のためのアクセス管理を提供するイスラエルのサイバーセキュリティスタートアップAstrix Security(アストリックス・セキュリティ)が1500万ドル(約17億円)の資金調達によりステルスから姿を現した。

このスタートアップは、イスラエルの有名な諜報部門8200部隊の元メンバーであるAlon Jackson(アロン・ジャクソン)CEOとIdan Gour(アイダン・グール)CTOが2021年に共同で創業した。組織が重要システムに接続されたサードパーティアプリの複雑なウェブを監視・管理できるようにする。

リモートワークへの、転じてクラウドベース環境への移行が広まった結果、組織が使用する統合アプリケーションの数は過去2年間で劇的に増加した。Astrixによると、企業は重要システムへのユーザーアクセスの管理にはほぼ対応しているものの、APIアクセスの管理に関しては大半の企業が不十分であり、サプライチェーン攻撃、データ流出、コンプライアンス侵害などにさらされ、脆弱性は増している。そこで同社は、完全な統合ライフサイクル管理を実現するプラットフォーム、Astrix Security(アストリックス・セキュリティ)を開発した。

「現在のソリューションは、採用したいアプリのセキュリティの状態を評価するセキュリティスコアを提示しています。NoName(ノーネーム)のような他のソリューションは、API セキュリティに着目しています。これは、あなたが開発し、他の人が利用するAPIに焦点を当てています」と、Astrix創業前にArgus(アルゴス)でR&D部門のトップを務めていたジャクソン氏はTechCrunchに述べた。「私たちは、Salesforce(セールスフォース)のCRMやGitHub(ギットハブ)の知的財産など、サードパーティを通じて行われる統合を調査します。これらのシステムはすべて、あなたが開発したわけではありませんが、あなたはそれらに対してAPIアクセスを有効にしているのです」。

Astrix Securityは、エンタープライズアプリケーションに接続するすべてのサードパーティのインベントリを即座に提供する。このような統合やローコード、ノーコードのワークフロー構成における変更や悪意のある異常を自動的に検出し、リアルタイムに修復を行う。

この技術があれば、2021年発生したCodeCovのハッキング事件は未然に防ぐことができたとジャクソン氏は主張する。同事件で攻撃者は、同社のソフトウェア監査ツールに侵入し、数百の顧客ネットワークへのアクセスを得た。

「この出来事は、まさに私たちが開発しているものが目指すところです。この開発者は、GitHubにある自分のコードレポジトリの上に、新しいサードパーティ接続を追加しただけなのです。彼はそれを削除しましたが、アクセスを取り消さなかったため、知的財産全体がダークウェブで販売されることになりました」とジャクソン氏は語った。

Astrix Securityはすでに、テクノロジー、ヘルステック、自動車などの分野にまたがる多くのグローバル企業顧客の手に渡っている。ジャクソン氏によると、Bessemer Venture PartnersとF2 Capitalがリードし、Venrockと20以上のサイバーセキュリティ・エンジェル投資家が参加した1500万ドルのシード投資を、現在20人のチームの拡大と、市場開拓強化に使う予定だという。

画像クレジット:Dmetsov / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

あなたのAndroidスマホがストーカーウェアに感染している可能性、削除方法はこちら

今日最も広く展開されている消費者向けスパイウェアの1つにセキュリティ上の脆弱性があり、約40万人の携帯電話データが危険にさらされており、その数は日々増え続けている。TechCrunchが特定したこのスパイウェアは、ベトナムの少人数の開発者によって運営されているが、セキュリティ上の問題はまだ修正されていない。

今回、問題のあるスパイウェアアプリは1つだけではない。Copy9、MxSpy、TheTruthSpy、iSpyoo、SecondClone、TheSpyApp、ExactSpy、FoneTracker、GuestSpyといった一連のアプリが、同じセキュリティの脆弱性を共有している。

しかし、修正プログラムがなく、TechCrunchはこの脆弱性に関する具体的な詳細を明らかにすることができない。知らないうちに携帯電話が危険にさらされている何十万人もの人々にもたらすリスクのためだ。

この脆弱性がすぐに修正される見込みはないため、このガイドでは、あなたのAndroidスマートフォンからこれらの特定のスパイウェアアプリを削除する方法を説明する。そうすることが安全だとあなたが思えばの話だ。

消費者向けのスパイウェアアプリは、子ども追跡ソフトウェアという名目で販売されることが多いが、同意なしにパートナーや配偶者を追跡・監視できることから「ストーカーウェア」としても知られている。これらのアプリは、Google Playのアプリストア以外のところからダウンロードされ、本人の許可なくスマホに仕込まれ、発見されないようホーム画面から消えるように設計されている。あなたが携帯電話を積極的に使用していないときでも、携帯の動作がいつもと違ったり、動作がいつもより鈍く遅くなったりすることに気づくかもしれない。

これらの一連のストーカーウェアのアプリは、雇用主が従業員の業務用携帯電話を遠隔管理するためによく使用されているAndroid搭載の機能を悪用しているため、Androidスマホが危険にさらされているかどうかのチェックは迅速かつ簡単に行える。

チェックを実行する前に、安全策を準備して欲しい。Coalition Against Stalkerware(ストーカーウェアに対抗するための取り組みを行う企業連合)は、ストーカーウェアの被害者と被害克服者のためのアドバイスとガイダンスを提供している。スパイウェアは秘密になるよう設計されているが、携帯電話からスパイウェアを削除すると、それを仕掛けた人物に警告がいく可能性が高く、安全でない状況を作り出す可能性があることに留意して欲しい。

この操作では、スパイウェアのアプリを削除するだけで、すでに収集されサーバーにアップロードされたデータは削除されないことに注意が必要だ。また、Androidのバージョンによっては、メニューオプションが若干異なる場合がある。自己責任においてこれらの手順に従って欲しい。

Google Playプロテクトの設定を確認する

Android端末のセキュリティ機能Google Playプロテクトが有効になっていることを確認する(画像クレジット:TechCrunch)

Google Playプロテクトは、サードパーティ製のものやアプリストアの悪意のあるAndroidアプリから保護するための最高のセーフガードの1つだ。しかし、スイッチをオフにすると、それらの保護機能が停止し、Google Play外のストーカーウェアやマルウェアが端末にインストールされる可能性がある。そのため、このストーカーウェアネットワークでは、スパイウェアを仕掛ける人に、動作させる前にGoogle Playプロテクトを無効にするよう促している。

Google PlayアプリからGoogle Playプロテクトの設定を確認し、有効になっていること、そして最近スキャンが完了したことを確認しよう。

アクセシビリティサービスが不正に細工されていないか確認する

ストーカーウェアは、デバイスとそのデータへの深いアクセスに依存していて、画面読み上げなどのアクセシビリティ機能を動作させるために、設計上、OSとそのデータへの広範なアクセスを必要とするAndroidのアクセシビリティ機能を往々にして悪用する。アクセシビリティのオプションの中にダウンロードした覚えがないサービスがある場合は、削除した方がいいかもしれない。ストーカーウェアのアプリの多くは「アクセシビリティ」や「デバイスヘルス」と呼ばれる、最初から入っているアプリに偽装されている。

Androidのスパイウェアは、ビルトインされたアクセシビリティ機能を悪用することが多い(画像クレジット:TechCrunch)

端末管理アプリがインストールされていないか確認する

端末管理のオプションは、アクセシビリティ機能と似ているが、さらに広範囲にAndroidにアクセスすることができる。これらの端末管理オプションは、企業が従業員の携帯電話をリモートで管理し、機能を無効化し、データ損失を防ぐためにデータを消去するためのものだ。しかし、このオプションによってストーカーウェアのアプリが画面を録画し、デバイスの所有者を盗聴することもできる。

端末管理アプリ設定の覚えのない項目は、端末侵入の一般的な指標だ(画像クレジット:TechCrunch)

ほとんどの人は個人の携帯電話に端末管理アプリを入れていないだろう。そのため「System Service(システムサービス)」「Device Health(デバイスヘルス)」「Device Admin(デバイス管理)」などの名前のついた見慣れないアプリが出てきたら要注意だ。

アンインストールするアプリを確認する

これらのストーカーウェアアプリのホーム画面アイコンは表示されないかもしれないが、Androidスマホのアプリのリストに表示されている可能性がある。Androidの設定画面にいき、アプリを表示して欲しい。そして一般的な外観のアイコンを持つ「デバイスヘルス」「システムサービス」などの無難な名前のアプリを探す。これらのアプリは、カレンダー、通話履歴、カメラ、連絡先、位置情報に広くアクセスできる。

スパイウェアのアプリは、一般的な外観のアイコンであることが多い(画像クレジット:TechCrunch)

覚えのないアプリやインストールしていないアプリがあった場合は「アンインストール」をタップする。この場合、ストーカーウェアを仕掛けた人物に、アプリがもはやインストールされていないことを警告する可能性が高いことに注意して欲しい。

携帯電話を保護する

ストーカーウェアが仕かけられていた場合、携帯電話のロックが解除されていた、無防備になっていた、あるいは画面ロックを推測・学習されていた可能性が高い。より強力なロック画面のパスワードは、未来のストーカーからあなたの携帯電話を保護するのに役立つ。また、電子メールやその他のオンラインアカウントは、可能な限り二要素認証で保護すべきだ。

あなたやあなたの知り合いが助けを必要としている場合、National Domestic Violence Hotline (1-800-799-7233)が家庭内虐待や暴力の被害者に24時間365日無料で極秘のサポートを提供している。緊急事態の場合は911に通報を。また、Coalition Against Stalkerwareは、あなたの携帯電話がスパイウェアによって侵害されていると思われる場合のリソースを提供している。この記事の執筆者には、SignalとWhatsAppの+1 646-755-8849、またはzack.whittaker@techcrunch.comでコンタクトを取れる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

弁護士・ジャーナリストを標的に使われたスパイウェアPegasus、誤動作で残した偽画像ファイルから暴き出される

弁護士・ジャーナリストを標的に使われたスパイウェアPegasus、誤動作でiPhone内に残した偽画像ファイルから暴き出される

Nir Elias / reuters

昨年(2021年)7月、iPhoneやAndroid端末のユーザーを攻撃・監視するスパイウェア「Pegasus」が、世界中の人権活動家や弁護士、ジャーナリストを標的に使われたことが判明しました。その後アップルが本格的な対策に乗り出し、ついにはPegasusを開発・販売したイスラエル企業NSOグループを提訴するに至っています。

本来Pegasusは標的としたユーザーのデータを抜き出して政府などに送信したあと、自らが存在した痕跡をすべて消し去るものです。そのため被害者が監視されていたと気づくことや、スパイウェアがどのような挙動をしているか知ることが困難でした。

では、どうやって手がかりがつかめたのか。それは2021年初め、攻撃対象とされたiPhone内から見つかった偽の画像ファイルがきっかけだったと報じられています。

米Reuters報道によると、2021年2月にサウジアラビアの刑務所から釈放された女性活動家のルージャイ・ハスルール(Loujain al-Hathloul)氏は、Googleから国家支援型のハッカーが彼女のGmailアカウントに侵入しようとしたとの警告メールを受け取ったとのこと。iPhoneもハッキングされたことを恐れたハスルール氏は証拠になりそうなものがないか、カナダのセキュリティ研究機関Citizen Labに調査を頼んだそうです。

その半年後、Pegasusの誤動作により、iPhone内に悪意ある画像ファイル(本体のコードが含まれていた)が残されていたと判明。そのファイルが後に、スパイウェアがNSOグループにより作られたことを示す直接的な証拠となりました。Citizen Labの研究員は「これはゲームチェンジャー(流れを大きく変える出来事)でした」「あの会社が捕まえられないと思っていたものを捕まえたのですから」と語っています。

このファイルがPegasusを使ったハッキングを特定するために使われ、それによりアップルは国家支援型攻撃の標的になったと考えられるユーザーに通知できたとのことです。またアップルがPegasusが利用した脆弱性を修正するためにiOSを更新し、さらにはNSOグループへの訴訟を起こすことにも役立ったそうです。

1月には、イスラエルの警察がPegasusを使って裁判所の令状なしに自国民を監視していたことが明らかとなりました。また米FBIが2019年にPegasusを購入して使用を検討していたとも報じられており、調査が進めば波紋がさらに広がることになりそうです。

(Source:Reuters。Via AppleInsiderEngadget日本版より転載)

サイバー攻撃の被害に遭った赤十字、「国家が支援」するハッカーが未パッチの脆弱性を悪用したと発表

先日、赤十字国際委員会(ICRC)がサイバー攻撃の被害に遭い、51万5000人以上の「非常に弱い立場にある」人々のデータが流出したが、これは国家が支援するハッカーの仕業だった可能性が高いようだ。

ICRCはスイス時間2月16日に公開した最新情報の中で、ハッカーによる最初の侵入は、1月18日に攻撃が明らかになる2カ月前の2021年11月9日にさかのぼることを確認、分析の結果、侵入はICRCのシステムに対する「高度に洗練された」標的型攻撃であり、ICRCが当初の発表で述べたような業務契約している外部企業のシステムに対する攻撃ではないことがわかったと付け加えた。

ICRCは「攻撃者がICRCに関わるサーバー上のみで実行することを目的としたコードを作成していたことから、今回の攻撃がICRCを標的としたものであることがわかった」と述べている。今回更新された情報によると、攻撃者が使用したマルウェアは、ICRCのインフラストラクチャ内の特定のサーバーを標的として設計されたものだったという。

ハッカーは、ウェブベースのオフィスサービスを手がけるZoho(ゾーホー)が開発したシングルサインオンツールに存在する、既知でありながらパッチが適用されていない危険度の高い脆弱性を悪用して、ICRCのネットワークにアクセスする手段を得た。この脆弱性は、9月に米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)から警告を受けており、CVSS(共通脆弱性評価システム)の深刻度スコアは10点満点中9.8点となっている。

ICRCによると、不明な国家支援ハッカーはこの欠陥を悪用し、ウェブシェルを設置して、管理者資格の侵害、ネットワーク内の移動、レジストリファイルやドメインファイルの流出などの侵入後活動を行ったという。

「ネットワークに侵入したハッカーは、攻撃的なセキュリティツールを展開して、正当なユーザーや管理者に偽装することが可能になりました。これにより、データが暗号化されているにもかかわらず、データにアクセスすることができたのです」と、ICRCは述べている。赤十字は、今回の攻撃で盗まれたデータが公開されたり取引されたりしているという決定的な証拠はなく、身代金の要求もなかったと付け加えているが、個人情報が流出した可能性のある人々には連絡を取っていると述べている。

ICRCによると、標的とされたサーバー上のマルウェア対策ツールは攻撃を受けた時に有効であり、攻撃者が使用した悪意のあるファイルの一部をブロックしていたものの、展開されたファイルのほとんどは、マルウェア対策防御を「回避するために特別に作られた」ものであったとのこと。

このようなツールは、通常、APT(Advanced Persistent Threat、高度持続的標的型攻撃)グループや、あるいは国家が支援する攻撃者が使用するものであるとICRCは指摘しているが、赤十字社は、今回の攻撃が特定の組織によるものであると、まだ正式に判断したわけではないと述べている。Palo Alto Networks(パロアルト・ネットワークス)が2021年11月に発表したレポートでは、APT27と呼ばれる中国の国家支援グループに、同じ脆弱性を悪用した関連性が見られると述べている。

今回のサイバー攻撃の結果、赤十字社は、紛争や災害で離ればなれになった家族の再会などの重要な業務を遂行するために、スプレッドシートの使用に頼らなければならなくなったと述べている。

「弱い立場にある人々のデータに対するこの攻撃が、変化を促す要因となることを、私たちは願っています」と、ICRCのRobert Mardini(ロバート・マルディーニ)事務局長は、声明の中で述べている。「赤十字・赤新月運動の人道的使命に対する保護が、データ資産やインフラにまで及ぶことを明確に求めるために、今後は国家および非国家主体との関わりを強化していきます」。

「人道的データは決して攻撃されてはならないという確固たるコンセンサスを、言葉と行動で得ることが重要であると、私たちは信じています」。

画像クレジット:Fabrice Coffrini / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

FBI、BlackByteランサムウェアが米国の重要インフラを狙っていると警告

米国連邦捜査局(FBI)とシークレットサービス(Secret Service)のアドバイザリーによると、BlackByteランサムウェアギャングが少なくとも3つの米国の重要インフラセクターを標的にし、カムバックを遂げたようだ。

BlackByteはRaaS(Ransomware as a Service、ランサムウェア・アズ・ア・サービス)事業者で、ランサムウェアのインフラを他者にリースし、身代金の収益の一定割合を得ることを目的としている。このギャングは、2021年7月にソフトウェアの脆弱性を悪用して世界中の企業の被害者をターゲットにして出現した。BlackByteは米国、欧州、オーストラリアの製造業、医療、建設業に対する攻撃をセキュリティ研究者が確認するなど、当初は一定の成功を収めた。しかし数カ月後に、サイバーセキュリティ企業のTrustwaveがBlackByteの被害者がファイルを無料で復元できる復号化ツールを公開したことで、ギャングは苦境に立たされた。このグループの単純な暗号化技術により、このランサムウェアがアマチュアの仕業であると考える人もいた。ランサムウェアは、AESでファイルを暗号化する際に、セッションごとに固有の鍵ではなく、同じ鍵をダウンロードして実行していた。

しかし、このような挫折にもかかわらず、BlackByteの活動は再び活発化しているようだ。FBIと米国シークレットサービス(USSS)は、米国時間2月11日に発行されたアラートの中で、同ランサムウェアが米国内外の複数の企業を危険にさらしており、その中には政府機関、金融サービス、食品・農業関連など、米国の重要インフラに対する「少なくとも」3つの攻撃が含まれていると警告している。

このアドバイザリーは、ネットワーク防御者がBlackByteの侵入を識別するためのセキュリティ侵害インジケータを提供するもので、ランサムウェアギャングがSan Francisco 49ers(サンフランシスコ・フォーティナイナーズ)のネットワークを暗号化したと主張する数日前に公開された。BlackByteは、13日に行われたスーパーボウルの前日に、盗まれたとする少数のファイルを流出させることで、攻撃を公表した。

Emsisoft(エムシソフト)のランサムウェア専門家で脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、TechCrunchに対し、BlackByteは最も活発なRaaS事業者ではないものの、過去数カ月の間に着実に被害者を増やしてきたと述べている。だが最近、米国政府がランサムウェア業者に対して行っている措置を受けて、BlackByteは慎重なアプローチを取っているのではないかという。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

「FBIとUSSSのアドバイザリによると、BlackByteは政府を含む少なくとも3つの米国の重要インフラセクターへの攻撃に投入されています。興味深いことに、ギャングのリークサイトにはそのような組織は掲載されていません。これは、それらの組織が(身代金を)支払ったか、データが漏洩しなかったか、あるいはBlackByteが漏洩したデータを公開しないことを選択したことを示しているのかもしれません」と述べています。「REvilのメンバーが逮捕されて以来、ギャングはデータを公開することにより慎重になっているようで、特に米国の組織の場合はそうした傾向が見られます」。

このランサムウェアはREvilと同様に、ロシア語やCIS言語を使用しているシステムのデータを暗号化しないようにコーディングされているため、BlackByteがロシアを拠点としていることを示す兆候はあるものの、だからといって「ロシアやCISを拠点とする人物によって攻撃が行われたと考えるべきではない」とキャロウ氏は述べている。

また「ギャングに属する関係者は、RaaSを運営する人物らと同じ国にいるとは限りません」と同氏は付け加えた。「彼らは、米国を含むどこにでも存在し得ます」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

米国土安全保障省、過去のサイバー事件から学ぶ「サイバー安全審査委員会」を設置

米国土安全保障省(DHS)は、国家のサイバーレジリエンスを「有意義に向上」させるため、サイバーセキュリティ重大事件の調査を担当する審査委員会を設置した。

DHSによると、Cyber Safety Review Board(CSRB、サイバー安全性調査委員会)は、SolarWinds(ソーラーウィンズ)の攻撃を受けてバイデン大統領が署名した2020年5月の大統領令によって設置が決まったもので、政府、産業界、セキュリティ機関が国のネットワークとインフラをこれまで以上に保護できるよう、大規模なハッキングの原因と影響について検討する役割を担う。同委員会は、航空事故や列車の脱線事故などの交通事故を調査する国家運輸安全委員会(NTSB)を大まかにモデルとしている。

CSRBの最初の調査は、広く使われているソフトウェアライブラリLog4jに12月に発見された脆弱性に焦点を当て、今夏に報告書が出される予定だ。脆弱性の詳細が公表されて以来、増えつつあるハッカーに悪用されているこれらの脆弱性を検証することは「サイバーセキュリティコミュニティにとって多くの教訓を生む」とDHSは述べ、CSRBの助言、情報、勧告は「可能な限り」公開される予定だと付け加えた。

委員会は連邦政府と民間部門のサイバーセキュリティのリーダーで構成され、メンバーはNTSBの3倍にあたる15人だ。国土安全保障省の政策担当次官Robert Silvers(ロバート・シルバーズ)氏が委員長を務め、Google(グーグル)のセキュリティエンジニアリング主任Heather Adkins(ヘザー・アドキンス)氏が副委員長を務める予定だ。

この他、国家安全保障局のサイバーセキュリティ担当ディレクターであるRob Joyce(ロブ・ジョイス)氏、Silverado Policy Accelerator(シルバラード・ポリシー・アクセラレーター)の共同創業者で会長、そしてCrowdStrike(クラウドストライク)の元最高技術責任者であるDmitri Alperovitch(ドミトリ・アルペロヴィッチ)氏、脆弱性報奨金制度のパイオニアでありLuta Security(ルタ・セキュリティ)を設立して率いているKaty Moussouris(ケイティ・ムスリス)氏が委員に名を連ねている。

ムスリス氏はTechCrunchに対し、CSRBはこれ以上ないほど良いタイミングで誕生したと語った。「公共部門や民間部門に影響を与える頻度が高まっているサイバー事件を前に、我々のレジリエンスを強化するのに役立ちます」と同氏は述べた。「Log4jをはじめとするこれらの事件の調査から学んだことや推奨事項を共有することを楽しみにしています」。

上院情報委員会の委員長Mark Warner(マーク・ワーナー)上院議員(民主、バージニア州選出)もCSRBの設置を歓迎し「国家安全保障を脅かす広範囲なサイバー侵害にまた直面するかどうかではなく、いつ直面するかの問題です」と警告した。

「サイバーセキュリティに関する2020年5月の大統領令に、NTSBのような機能が盛り込まれたことは喜ばしいことであり、そのような能力を確立するための良い第一歩となります」とも述べた。「今後数カ月間、この委員会がどのように発展していくかを見守るのが楽しみです」。

画像クレジット:Scott Olson / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

【コラム】Web3の成功はセキュリティ対策の修正にかかっている

Web 1.0とWeb 2.0はともに、セキュリティモデルがアプリケーションアーキテクチャーともに変更され、まったく新しい経済の扉を開いた。Web 1.0では、Secure Socekts Layer(SSL、セキュリティ・ソケット・レイヤー)がNetscape(ネットスケープ)によっていち早く開発され、ユーザーのブラウザーとさまざまなサーバーとの間の堅牢なコミュニケーションを可能にした。Google(グーグル)、Microsoft(マイクロソフト)、Amazon(アマゾン)などのWeb 2.0の信頼できる仲介者と認証機関は、SSLの後継となるTransport Layer Security(TLS、トランスポート・レイヤー・セキュリティ)の実装を加速する中心的役割を果たした。

同じことがWeb3でも起きようとしている。これが、新しいWeb3セキュリティ会社への投資が2021年10倍以上増えて10億ドル(約1兆1500万円)を超えた主な理由だ。

Web3の成功は、さまざまなアプリケーションアーキテクチャーが生み出す新たなセキュリティ問題を解決するイノベーションにかかっている。Web3では、分散型アプリケーション(dApps)が、Web 2.0に存在する伝統的アプリケーションロジックやデータベースレイヤーに依存することなく作られている。代わりにブロックチェーン、ネットワークノード、スマートコントラクトなどのプロトコルがロジックと状態の管理に使われている。

ユーザーは今までと変わらずにフロントエンドをアクセスし、そこからノードにつながってデータの更新、たとえば新しいコンテンツの公開や商品の購入などを行う。この手順では、ユーザーが各自のプライベートキー(秘密鍵)を使って取引を承認する必要があり、通常秘密鍵はウォレットで管理される。これはユーザーのコントロールとプライバシーを保護することを目的としたモデルだ。ブロックチェーンを利用した取引は完全に公開されていて、誰もがアクセス可能でイミュータブル(改変不可能)だ。

どんなシステムでも同じだが、このデザインにはセキュリティとのトレードオフがある。ブロックチェーンでは、Web 2.0のように行為者が信頼されている必要がなく、セキュリティ問題に対応するための更新がより困難だ。ユーザーはアイデンティティに関する制御を自ら維持することができるが、アタックを受けたり、キーを悪用された時に助けてくれる仲介者は存在しない(Web 2.0プロバイダーは、盗まれた財産を復活させたりパスワードをリセットできる)。ウォレットも、Ethereum(イーサリアム)アドレスなどの重要情報を漏らす可能性がある。ソフトウェアである限り完璧にはなりえない。

こうしたトレードオフは、当然ながら重大なセキュリティ上の懸念を喚起しているが、それによってWeb3の機運が削がれるべきではなく、実際その可能性は低い。

改めてWeb 1.0、Web 2.0との類似点を見てみよう。SSL/TLSの初期バージョンには致命的な脆弱性があった。かつてのセキュリティツールはよくいって原始的であり、時間とともに堅牢になっていった。Web3のセキュリティ会社やプロジェクト、たとえばCertik(サーティック)、Forta(フォータ)、Slither(スリザー)、Securify(セキュリファイ)などは、Web 1.0やWeb 2.0アプリケーションのために当初開発されたコードスキャニングやアプリケーションセキュリティテスティングのツールに相当する。

しかし、Web 2.0では、セキュリティモデルの中心はレスポンスだった。Web3では、いったん実行された取引は変更不可能なので、その取引がそもそも実行されるべきかどうかを検証する機構が組み込まれている必要がある。言い換えると、セキュリティは予防に関して並外れて優秀でなければならない。
つまりこれは、Web3コミュニティは、系統的脆弱性に正確に対応し、暗号プリミティブからスマート・コントラクトの脆弱性まであらゆるものをターゲットにする新たな攻撃手段を阻止する方法を見つけなければならないことを意味している。現在、予防型Web3セキュリティモデルを推進するイニシアチブが少なくとも4つ、進行している。

脆弱性に関するデータの信頼できる情報源

Web3の既知の脆弱性や弱点に関する信頼できる情報源が必要だ。現在、National Vulnerability Database(NVD、脆弱性情報データベース)が脆弱性管理プログラムのために基本データを提供している。

Web3には、分散型の同等品が必要だ。現在は、不完全な情報がSWC Registry(SWCレジストリー)、Rekt(レクト)、Smart Contract Attack Vectors(スマート・コントラクト・ベクターズ)、DeFi Threat Matrix(ディーファイ・スレット・マトリクス)などさまざまな場所に散らばっている。Immunefi(イミュニファイ)などが実施しているバグバウンティプログラムは、新しい弱点を発見することを目的にしている。

セキュリティに関わる意思決定基準

重要なセキュリティデザインの選択や、Web3の個々の事象に関する意思決定モデルは今のところ知られていない。分散型というのは、誰も問題の責任をもたないという意味なので、ユーザーにとって予期せぬ大問題がおきることがある。最近のLog4j脆弱性のような事例は、セキュリティを分散型コミュニティに委ねる危険性の教訓だ。

関連記事:米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

自律分散型組織(DAO)やセキュリティ専門家Alchemy(アルケミー)やInfura(インフーラ)などのプロバイダーなどが、差し迫るセキュリティ問題にどのように協力して取り組むかを明確にしておく必要がある。大規模なセキュリティコミュニティが協力し、OpenSSF(オープンSSF)やいくつものCNCFアドバイザリーグループを結成してセキュリティ問題に取り組むプロセスを確立したという良い事例がある。

認証と署名

現在ほとんどのdAppは、最も著名なものを含め、APIのレスポンスに認証や署名を行っていない。これは、ユーザーのウォレットがこれらのアプリからデータを取得したとき、レスポンスが意図したアプリから来たものであり、データが何からの方法で改ざんされていないことを検証するまでに時間のずれが生じることを意味している。

アプリが基本的なセキュリティのベストプラクティスを実施していない世界では、アプリのセキュリティに対する姿勢と信頼性を確かめる仕事はユーザーに任されているが、それは事実上不可能だ。最低限、リスクをユーザーに知らせるもっとよい方法が必要だ。

シンプルでユーザーが制御可能なキー管理

暗号化キーは、Web3パラダイムの下でユーザーが取引を行う仕組みを支えるものだ。暗号化キーは、正しく管理することが困難であることでも悪名高い。ビジネス全体がキー管理を中心に作られている必要があり、今後もそれは変わらない。

秘密鍵の管理に関わる複雑さとリスクは、ユーザーが自己管理ウォレット(non-custodial wallet)よりもホスト型ウォレット(hosted wallet)を選びたがる主要な理由だ。しかし、ホスト型ウォレットの利用には2つのトレードオフがある。Coinbase(コインベース)のような新たな「intermediaries」(仲介者)を生み、Web3の完全分散型への方向性を阻害すること。そして、ユーザーがWeb3の提供するものすべてを利用する機会を奪うことだ。理想は、さらなるセキュリティイノベーションによって自己管理ウォレットの使いやすさとセキュリティの両方が改善されることだ。

最初の2つのイニシアチブは人間とプロセスが中心なのに対して、3番目と4番目のイニシアチブはテクノロジーの変化が必要であることは注目に値する。新しい技術と生まれつつあるプロセス、さらに膨大な数のユーザーを調整しなければならないことが、Web3セキュリティの解決を難しくしている。

一方で、最も勇気づけられる変化の1つは、Web3のセキュリティイノベーションが開かれた場で起きていることだ。これがどれほど創造的ソリューションにつながるかを決して過小評価してはならない。

編集部注:本稿の執筆者Wei Lien Dang(ウェイ・リエン・ダン)氏はセキュリティ、インフラストラクチャー・ソフトウェアおよび開発ツールへの投資で知られるUnusual Venturesのゼネラルパートナー。クラウドネイティブセキュリティ会社で後にRed Hatに買収された、StackRoxを共同設立した。

画像クレジット:Westend61 / Getty Images

原文へ

(文:Wei Lien Dang、翻訳:Nob Takahashi / facebook

IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

IT資産管理や名刺管理サービス、システム開発などを手がけるSKYは、同社製品の情報セキュリティー上の脆弱性に関する情報を報告したユーザーに報奨金を支払う「SKY脆弱性報奨金制度」を開始した。報奨金は最大で200万円になる。

脆弱性報奨金制度(Bug bounty program)は、自社製品やサービスの安全性向上を目的として海外の大手IT企業などがすでに実施しているが、SKYでも、「検知難易度の高い潜在的なセキュリティリスクをいち早く発見できる」手段として「SKY脆弱性報奨金制度」を設立し、ユーザーからの協力を求めることにした。この制度の設計からリリースまでは、SOC支援やCSIRT支援を行う川口設計の協力で行われた。

応募された情報は、受け付け順に審査され、認定が行われた後に公開される。報奨金は、緊急性、重要性などに基づき定められたベース金額に、共通脆弱性評価システム「CVSS」の値が乗算され、さらに、RCEか否か、脆弱性種別に応じて金額が加算される。最大で、脆弱性1件につき200万円となる。

この他、応募に関する条件、対象製品、情報の取り扱いなど、制度に関する詳細は、「Sky脆弱性報奨金制度規約」「Sky脆弱性報奨金制度ルールブック」をご覧いただきたい。IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに

バグ懸賞と侵入テストのスタートアップ、HakerOne(ハッカーワン)が4900万ドル(約56億6000万円)のシリーズEラウンドを完了した。この1年、在宅勤務の増加によってクラウド利用が急増した結果だ。

セキュリティ問題を探すハッカーと、問題を解決したい企業の間を取り持つ同社は、最近の成長について、12月のホリデーシーズンを前にインターネットを駆け巡った広く普及しているオープンソースロギングプラットフォーム、Log4j(ログフォージェイ)の欠陥をはじめすとる「ゼロデイ脆弱性」のまん延によって加速されたものだと語った。

同社は、この1年間に侵入につながっていた可能性のある重大、深刻な脆弱性を1万7000件以上発見しており、12月にLog4jバグが発見された後だけでも2000件以上の脆弱性が報告されたと語った。

HackerOneのCEOであるMarten Mickos(マーテン・ミコス)氏は、発見された攻撃の増加について、企業や政府が「これほど脅威にさらされたことはありません」と語った。

調達した資金は、研究開発および市場開拓業務の拡大に使用するつもりだと同社は言っている。

シリーズEの4900万ドルを加えて、HakcerOneの2021年設立以来の総調達額は1億6000万ドル(約184億7000万円)近くになった。ラウンドをリードしたのはGP Bullhound(GPブルハウンド)で、他に既存出資者のBenchmark(ベンチマーク)、NEA、Dragoneer Investment Group(ドラゴニア・インベストメント・グループ)、およびValor Equity Partner(ベイラー・イクイティー・パートナー)が参加した。

2012の開業以来、HackerOneは同社のバグ懸賞プログラムをさまざまな顧客に提供しており、リストには米国防省、Google(グーグル)、Dropbox(ドロップボックス)、Microsoft(マイクロソフト)、Twitter(ツイッター)の名前もある。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

アップルがiOS 15.3をリリース「活発に悪用された可能性がある」iPhoneの脆弱性を修正

Apple(アップル)は米国時間1月26日、iOS 15.3とmacOS Monterey 12.2のリリースにより、数十件のセキュリティ問題を修正した。

iOS 15.3では、同社が活発に悪用された恐れがあるとしている不具合を含む、合計10件のセキュリティバグが修正されている。CVE-2022-22587として追跡されているこの脆弱性は、IOMobileFrameBuffer(デバイスのメモリが画面表示を処理する方法を開発者が制御できるようにするカーネル拡張)のメモリ破壊バグで、悪意のあるアプリによるカーネルコードの実行につながる可能性がある。

また、AppleはmacOS Monterey 12.2をリリースした。ユーザーの最近のブラウジング履歴やGoogleアカウント情報が、Safari 15やサードパーティ製のウェブブラウザから流出する可能性があるというWebKitの不具合を研究者が発見し公表していたが、macOS 12.2ではそのバグに対する修正が含まれている。

この脆弱性は、ブラウザのフィンガープリンティングと不正行為の検出サービスを提供するFingerprintJSによって最初に発見されたもので、ブラウザにデータを保存するアプリケーションプログラミングインターフェース(API)であるIndexedDBのAppleによる実装に不具合があったという。

CVE-2022-22594として追跡されているこの不具合は、IndexedDBを使用しているウェブサイトが自分のドメインのみならず、ユーザーのブラウジングセッション中に他のウェブサイトが生成したIndexedDBデータベース名にアクセスすることを可能にし、ひいては、ユーザーが別のタブやウィンドウで訪れた他のウェブサイトを追跡することも可能にする。また、IndexedDBのデータベース名にユーザー固有の識別子を使っているGoogleなどのウェブサイトでは、攻撃者がユーザーのGoogleアカウント情報にアクセスできる可能性があるとFingerprintJSは警告している。

また、iOS 15.3には、アプリがルート権限を取得する可能性があるセキュリティ問題、カーネル権限で任意のコードを実行する問題、およびアプリがiCloudを通じてユーザーのファイルにアクセスできる問題の修正が含まれている。

一方、macOS Monterey 12.2では、合計13件の脆弱性が修正されている。後者は、以前に報告されたSafariでのスクロールの問題を修正し、MacBookにスムーズなスクロールをもたらすことも約束している。

また、レガシーバージョンのmacOS Big SurおよびCatalinaのセキュリティ修正プログラムもリリースされた。

今回の最新セキュリティアップデートの公開は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性があるiOSおよびiPadOSの脆弱性が確認されたのを受けて、それを修正するためにAppleがiOS 15.2.2をリリースしてからわずか2週間後に行われた。

関連記事:アップルがAirTagストーカー問題に対応、「Personal Safety User Guide」を改定

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

アップルがiOS 15.3をリリース「活発に悪用された可能性がある」iPhoneの脆弱性を修正

Apple(アップル)は米国時間1月26日、iOS 15.3とmacOS Monterey 12.2のリリースにより、数十件のセキュリティ問題を修正した。

iOS 15.3では、同社が活発に悪用された恐れがあるとしている不具合を含む、合計10件のセキュリティバグが修正されている。CVE-2022-22587として追跡されているこの脆弱性は、IOMobileFrameBuffer(デバイスのメモリが画面表示を処理する方法を開発者が制御できるようにするカーネル拡張)のメモリ破壊バグで、悪意のあるアプリによるカーネルコードの実行につながる可能性がある。

また、AppleはmacOS Monterey 12.2をリリースした。ユーザーの最近のブラウジング履歴やGoogleアカウント情報が、Safari 15やサードパーティ製のウェブブラウザから流出する可能性があるというWebKitの不具合を研究者が発見し公表していたが、macOS 12.2ではそのバグに対する修正が含まれている。

この脆弱性は、ブラウザのフィンガープリンティングと不正行為の検出サービスを提供するFingerprintJSによって最初に発見されたもので、ブラウザにデータを保存するアプリケーションプログラミングインターフェース(API)であるIndexedDBのAppleによる実装に不具合があったという。

CVE-2022-22594として追跡されているこの不具合は、IndexedDBを使用しているウェブサイトが自分のドメインのみならず、ユーザーのブラウジングセッション中に他のウェブサイトが生成したIndexedDBデータベース名にアクセスすることを可能にし、ひいては、ユーザーが別のタブやウィンドウで訪れた他のウェブサイトを追跡することも可能にする。また、IndexedDBのデータベース名にユーザー固有の識別子を使っているGoogleなどのウェブサイトでは、攻撃者がユーザーのGoogleアカウント情報にアクセスできる可能性があるとFingerprintJSは警告している。

また、iOS 15.3には、アプリがルート権限を取得する可能性があるセキュリティ問題、カーネル権限で任意のコードを実行する問題、およびアプリがiCloudを通じてユーザーのファイルにアクセスできる問題の修正が含まれている。

一方、macOS Monterey 12.2では、合計13件の脆弱性が修正されている。後者は、以前に報告されたSafariでのスクロールの問題を修正し、MacBookにスムーズなスクロールをもたらすことも約束している。

また、レガシーバージョンのmacOS Big SurおよびCatalinaのセキュリティ修正プログラムもリリースされた。

今回の最新セキュリティアップデートの公開は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性があるiOSおよびiPadOSの脆弱性が確認されたのを受けて、それを修正するためにAppleがiOS 15.2.2をリリースしてからわずか2週間後に行われた。

関連記事:アップルがAirTagストーカー問題に対応、「Personal Safety User Guide」を改定

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

無償で働くオープンソース開発者たちは自分の「力」に気づき始めている

ほとんどの人は意識していないと思うが、日常的に使用しているデバイスやアプリの多くはオープンソースソフトウェア上に構築されており、1人か2人の開発者によって維持管理されている。開発者は自分の時間のためにお金を支払われておらず、コミュニティや情熱的なプロジェクトに還元するべく、バグを修正したりコードを改善したりしている。

例えば「cURL」は、APIなどの別のシステムのデータにソフトウェアが簡単にアクセスできるようにするオープンソースライブラリである。このライブラリは、iPhoneから自動車、スマート冷蔵庫、テレビに至るまで、ほぼすべての現代的なコネクテッドデバイスで使用されているが、基本的には1人の開発者、Daniel Steinberg(ダニエル・ステンバーグ)氏が30年近く無料で維持管理している。

多くのオープンソースプロジェクトが営利目的のソフトウェアやデバイスに含まれており、一般的に、純粋な謝意を別にすれば報酬がともわないにもかかわらず、このシステムはほぼ確実に機能している。一部のオープンソース開発者は、GitHub SponsorsBuy Me A Coffeeなどのプログラム、企業とのメンテナンス契約、あるいは自分のライブラリの維持費を支払ってくれる企業で仕事をすることで、自分の仕事を首尾よくサポートすることができるが、これは標準とは程遠い。

広範なセキュリティ侵害が発生したとき、このシステムの不公平性がしばしば表面化する。2021年12月にJavaライブラリ「Log4j」に出現したLog4Shellの脆弱性は、世界中で重大なセキュリティ脆弱性の問題を引き起こしており、一部の大企業にも影響が及んでいる。

影響を受けたライブラリの開発者たちは、問題を緩和するために24時間体制で作業することを余儀なくされたが、対価は支払われず、そもそも彼らの開発品は無料で使用されていたのだということへの認識も乏しいものであった。cURLの開発者も同じような扱いを経験している。同氏のプロジェクトに依存している企業が、コードに問題が発生した際、そのサービスに対価を支払っていないにもかかわらず、同氏に支援を求めてきたのである。

したがって、当然のことながら、自らの仕事に対する報酬がない中で自分たちが過大な力を行使していることを、一部のオープンソース開発者たちは自覚し始めている。彼らのプロジェクトは、世界最大規模の収益性の高い企業に利用されているのである。

その一例として、人気のnpmパッケージ「colors」と「faker」の開発者であるMarak Squires(マラク・スクワイアーズ)氏は、2022年1月初旬、これらのコードに意図的に変更を加え、ユーザーすべてに影響する破壊的展開を誘発した。使用時に「LIBERTY LIBERTY LIBERTY」というテキストに続いて意味不明な文字や記号を出力し、無限ループが発生するというものであった。

スクワイアーズ氏はこの変更を行った理由についてコメントしていないが、同氏は以前GitHubで「私はもうFortune 500企業(およびその他の小規模企業)を無償の仕事でサポートするつもりはありません」と発言していた。

スクワイアーズ氏が加えた変更は、Amazon(アマゾン)のCloud Development Kit(クラウド開発キット)を含む他の人気プロジェクトを破壊した。同氏のライブラリは週に2000万近くnpmにインストールされており、何千ものプロジェクトが直接的に依存している。npmは数時間以内に不正なリリースをロールバックし、GitHubはそれに応じてこの開発者のアカウントを一時停止した。

npmの対応は、過去にもライブラリに悪意のあるコードが追加され、最終的にはロールバックされて被害を抑えた事例があり、予想されるものであった。一方で、GitHubはこれまでにない反応を示した。同コードホスティングプラットフォームは、スクワイアーズ氏がコードの所有者であり、意のままに変更する権利を持っていたにもかかわらず、同氏のアカウント全体を停止したのである。

開発者が抗議のために自身のコードを取り下げる形をとったのも、これが初めてではない。2016年に「left-pad」の開発者は、自身が所有する別のオープンソースプロジェクトの命名をめぐってKik Messenger(キック・メッセンジャー)と争った後、npmから自分のコードを取り下げ、依存していた何万ものウェブサイトを破壊した。

驚くべきことに、著名なライブラリが時折業界のやり方に抗議してはいるが、この種の事象はそれほど一般的なものではない。オープンソース開発者たちは、自分たちの仕事の裏で数百万ドル(数億円)のプロダクトが作られているにもかかわらず、無償で働き続け、自らのプロジェクトの維持管理に最善を尽くしている。

ホワイトハウスでさえテクノロジー業界に対するオープンソースの重要性を認めている。Log4Jの一連の出来事を受けて2022年1月に業界と会合を持ち、次のように言及している。「オープンソースソフトウェアは独自の価値をもたらすものであり、同時に独自のセキュリティ上の課題を抱えている。その背景には、利用範囲の広さと、継続的なセキュリティの維持管理に責任を負う多数のボランティアの存在がある」。

しかし、こうした声明が出ている一方で、大規模な人気を誇るオープンソースソフトウェアでも、少なくとも世間の注目を集めるまでは、厳しい資金不足に陥っている。Heartbleedの脆弱性がインターネット全体を危険にさらす前、影響を受けたオープンソースプロジェクト「OpenSSL」への寄付は年間2000ドル(約23万円)程度であったが、問題が発覚した後には9000ドル(約102万円)に増加した。

現代的なネットワーク機器のほぼすべてで使われているOpenSSLの開発チームは当時、書面で次のように述べていた。「OpenSSLのケアと供給に専念できるフルタイムのチームメンバーは、1人ではなく、少なくとも6人は必要です」。プロジェクトチームはその代わりに、プロジェクトの維持費をカバーする契約作業を継続的に確保している。

開発者が自身のオープンソースライセンスを変更したり、自分の仕事をプロダクトに変えたり、スポンサーを増やす努力をすることはできるにしても、すべてのプロジェクトに万能のソリューションはない。この無償の仕事のすべてに資金を提供するより良い方法を業界が見出すまでは(誰もそんなことは考えていないようであるが)、より多くのオープンソース開発者が、意図的に自分たちの仕事を中断する形で不服従行動を起こすことで、自らが貢献しているものに光を当てる他ないのが現状である。

これは長い目で見れば持続可能なものではない。しかし、この混乱からどうやって抜け出すのかは不透明である。今日生み出されているあらゆるソフトウェアやコネクテッドデバイスでオープンソースの採用が急増しているが、何人かのオープンソース開発者が陰鬱な日を甘受するのではなく、すべてを破壊しようと決断することに、その行方が委ねられている。

何百万ものデバイスで使用されているcURLのようなライブラリが、洗濯機から乗用車まであらゆるものに含まれているという状況であっても、作成者がそのサポートに疲れて世界にメッセージを送ることを決断したとしたら、どのようなことが起きるであろうか。過去においては被害が回復したことは幸運であったが、将来はそのような幸運にはつながらないかもしれない。

画像クレジット:aurielaki / Getty Images

原文へ

(文:Owen Williams、翻訳:Dragonfly)

100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

Tesla(テスラ)車のオーナーに人気の高いオープンソースのログ記録ツールに、セキュリティバグが見つかった。これにより、セキュリティ研究者は世界中の数十台のテスラ車にリモートアクセスできたと述べている。

この脆弱性に関するニュースは2021年1月初め、ドイツのセキュリティ研究者であるDavid Colombo(デヴィッド・コロンボ)氏のツイートで初めて明らかになった。コロンボ氏は、25台以上のテスラを「完全に遠隔操作」できるようになったが、その詳細を公表せずに、悪意のあるハッカーに警告を与えず、影響を受けたテスラ車のオーナーに問題を開示することに苦労していたと述べている。

現在、このバグは修正されていることをコロンボ氏は確認している。TechCrunchはこの記事を、脆弱性が悪用される可能性がなくなるまで掲載を保留していた。コロンボ氏はブログで調査結果を発表した。

コロンボ氏がTechCrunchに語ったところによると、この脆弱性は「TeslaMate(テスラメイト)」というツールで見つかった。これはテスラ車のオーナーが自分の車両に接続して、車両のエネルギー消費量、位置情報の履歴、走行統計などの隠されたデータにアクセスし、問題のトラブルシューティングや診断を行うために使用する無料でダウンロードできるロギングソフトウェアだ。TeslaMateは、テスラ車マニアたちが家庭用コンピューターで実行していることも多いセルフホスト型のウェブダッシュボードで、テスラのAPIにアクセスすることで、クルマの所有者のアカウントに紐付けられている車両のデータに触れることができる。

しかし、匿名でのアクセスを許可したり、デフォルトのパスワードを変更せずに使用しているユーザーがいたりといったウェブダッシュボードのセキュリティ上の欠陥が、一部のテスラ車オーナーによる設定ミスと相まって、100台分を超えるTeslaMateのダッシュボードが、テスラ車を遠隔操作するために使用する車両オーナーのAPIキーを含めて、直接インターネットに漏洩するという事態を引き起こした。

コロンボ氏はTechCrunchに電話で、影響を受けたテスラ車の数はもっと多いだろうと語っている。

漏洩したTeslaMateのダッシュボードの1つには、あるテスラ車がカリフォルニア州を横断している最近の移動ルートが表示されていた。TeslaMateはその後、脆弱性を修正し、テスラは数千のAPIキーを失効させた(画像クレジット:David Colombo)

コロンボ氏によると、TeslaMateのダッシュボードがデフォルトでは保護されていないことを発見したのは、2021年、漏洩したダッシュボードを偶然見つけたことがきっかけだったという。インターネットで他のダッシュボードを検索した結果、同氏は英国、欧州、カナダ、中国、米国でダッシュボードが露呈されたテスラ車を発見した。

しかし、ダッシュボードが露呈しているテスラ車のオーナーに個別に連絡を取ることは非常に困難であり、多くの場合、影響を受けたテスラの顧客に連絡できる方法を正確に知ることはできないと、コロンボ氏は説明する。

さらに悪いことに、露呈したダッシュボードからテスラ車ユーザーのAPIキーを抽出することが可能だったため、悪意のあるハッカーが、ドライバーに気づかれず、テスラ車に長期的なアクセスを続けることができてしまったのだ(APIは、インターネット上で2つのソフトウェアが相互にやり取りすることを可能にする。この場合、テスラの車両と同社のサーバー、Teslaアプリ、またはTeslaMateダッシュボード)。テスラのAPIへのアクセスは、所有者のアカウントに紐付けされたプライベートAPIキーによって、テスラ車の所有者に制限されている。

コロンボ氏は、流出したAPIキーを利用することによって、ドアや窓のロック解除、クラクションの吹鳴、キーレス運転の開始など、車両の一部機能に遠隔操作でアクセスできることを、アイルランドのあるテスラ車オーナーに確認したという。また、車両の位置情報、最近の走行ルート、駐車場の場所など、車両内部のデータにもアクセスできたとのこと。ただし、APIへのアクセスを利用してインターネットから遠隔的に車両を動かすことができるとは思えないと、コロンボ氏はいう。

今回のセキュリティ問題は、テスラのインフラにあったわけではないものの、業界標準の措置であるパスワードが変更された時に顧客のAPIキーを失効させるなど、テスラはセキュリティを向上させるためにもっとできることがあると、コロンボ氏は述べている。

TeslaMateは内密に脆弱性を報告した後、アクセスを防ぐためにユーザーが手動でインストールしなければならないソフトウェア修正を配信した。

TeslaMateプロジェクトの保守管理者であるAdrian Kumpf(エイドリアン・クンプフ)氏は、コロンボ氏のメールを受け取ってから数時間以内に更新プログラムを配信したと、TechCrunchに語っている。このソフトウェアはセルフホスト型であるため、ユーザーが誤って自分のシステムをインターネットに露呈させてしまうことを防ぐことはできないと、クンプフ氏はメールで語っており、TeslaMateの説明書では以前から、ソフトウェアを「ホームネットワーク上にインストールするように。さもなければ、あなたのテスラAPIトークンが危険にさらされる可能性があります」と警告していると付け加えた。また、クンプフ氏は、高度なインストールオプションを選択したユーザーは影響を受けないはずだ、とも述べている。

テスラが数千人のドライバーのAPIキーを失効させたことから、この問題は当初考えられていたよりも広範囲に渡っていた可能性があると、コロンボ氏はTechCrunchに語った。なお、テスラには本記事掲載前にコメントを求めたが、回答は得られなかった(テスラは2020年に広報チームを廃止している)。

画像クレジット:Patricia de Melo Moreira / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

iOS・iPadOSとmacOS用の最新版Safari 15に深刻なバグ、Googleアカウント情報やブラウズ履歴が漏えいの恐れ

iOS・iPadOSとmacOS用の最新版Safari 15に深刻なバグ、Googleアカウント情報やブラウズ履歴が漏えいの恐れ
iOS・iPadOSとmacOS用の最新版Safari 15に深刻なバグ、Googleアカウント情報やブラウズ履歴が漏えいの恐れ

9to5Mac

iOS/iPadOSとmacOS用の最新版Safari 15にバグがあり、Googleアカウント情報や最近のブラウジング履歴が流出する恐れがあると報じられています。

Webブラウザ向けの指紋認証サービスを提供するFingerprintJSは、ブログ記事にてSafari 15にはIndexedDB実装にバグがあり、特定のWebサイトが自分のドメインのみならず、あらゆるドメインのデータベース名を見られると指摘しています。このデータベース名は、ルックアップテーブルから識別情報を抽出するために使用できると述べられており、実際に試せる概念実証デモも公開されています

たとえばGoogleのサービスでは、ログインしているアカウントごとにIndexedDBインスタンスを保存しており、データベース名はGoogleユーザーIDに対応しています。ここで報告されている脆弱性を利用すれば、悪意あるサイトがユーザーのGoogle IDを抽出して、そのIDにより他の個人情報も抜き出せるというわけです。上記の概念実証デモでは、実際に(匿名であるはずの)アクセスした本人のGoogleプロフィール写真も表示されてしまいます。

このバグは、すべての IndexedDB データベースの名前がどのサイトでも参照できるだけであり、各データベースの実際のコンテンツへのアクセスは制限されているとのことです。

つまりデータベース名が分かるだけで、それ以上の中味を見たり、内容を改変したりはできないということ。GoogleユーザーIDはデーターベース名から分かるため個人を特定でき、またデータベース名から最近立ち寄ったサイトの履歴ものぞき見られるというわけです。

ちなみにChromeなど他のブラウザでの本来あるべき動作は、Webサイトが自分のドメイン名と同じドメイン名により作られたデータベースのみを見ることができる、というものです。

この脆弱性はiPhone、iPad、Macに搭載されたSafariの現在バージョンすべてで悪用できるとのこと。 FingerprintJSによると、11月28日にAppleにバグを報告したものの、まだ解決していないそうです。今後のアップルの対応を待ちたいところです。

(Source:FingerprintJS。Via 9to5MacEngadget日本版より転載)

アップルがiOS 15.2.1リリース、iPhoneとiPadにHomeKitの欠陥に対するパッチを適用

Apple(アップル)は、iOSおよびiPadOSに存在するセキュリティ脆弱性を修正した。この脆弱性は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性がある。

Appleは米国時間1月12日にiOS 15.2.1およびiPadOS 15.2.1をリリースし、セキュリティ研究者のTrevor Spiniolas(トレバー・スピニオラス)氏によって1月初めに開示された、いわゆる「doorLock」と呼ばれる欠陥を修正した。このバグはiOS 14.7からiOS 15.2を搭載したiPhoneおよびiPadに影響するもので、Appleのスマートホーム基盤であるHomeKitを介して発生する。

このバグを悪用するには、攻撃者はHomeKitデバイスの名前を50万文字を超える文字列に変更する必要がある。この文字列がユーザーのiPhoneやiPadに読み込まれると、デバイスのソフトウェアがサービス拒否(DoS)状態に陥り、フリーズを解除するために強制リセットが必要になる。しかし、デバイスが再起動し、ユーザーがHomeKitにリンクされたiCloudアカウントにサインインし直すと、再びバグがトリガーされる。

ユーザーがHomeKitでデバイスを1つも追加していなくても、攻撃者は偽のHomeネットワークを作成し、フィッシングメールでユーザーを騙して参加させることができる。さらに悪いことに、攻撃者はdoorLock脆弱性を利用して、iOSユーザーに対してランサムウェア攻撃を仕かけ、デバイスを使用できない状態にロックして、HomeKitデバイスを安全な文字列長に戻すために身代金の支払いを要求することができると、スピニオラス氏は警告している。

スピニオラス氏によると、Appleは2021年のセキュリティアップデートでこの問題を修正することを約束していたが、これが「2022年初頭」まで延期されたため、同氏はこの遅れがユーザーに「深刻なリスク」をもたらすことを恐れてバグを公開したとのこと。

「Appleはセキュリティ問題を確認し、私はこの4カ月間に何度もこの問題に真剣に取り組むよう彼らに促したにもかかわらず、ほとんど為されていませんでした」と同氏は書いている。「頻繁に要求したにもかかわらず、この問題に関するステータスの更新は稀で、並外れて少ない詳細情報しか得られなかったのです」。

「Appleの透明性の欠如は、しばしば無償で活動しているセキュリティ研究者を苛立たせるだけでなく、セキュリティ問題に関するAppleの説明責任を低下させることで、日々の生活でApple製品を使用している何百万人もの人々にリスクをもたらしています」とも。

このアップデートは現在ダウンロード可能で、iPhone 6s以降、iPad Pro全モデル、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch(第7世代)が対象となる。

画像クレジット:file photo

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

Javaで書かれた広く使われているログ記録ライブラリApache Log4jには、Log4Shellと通称されるゼロデイ脆弱性がある。連邦取引委員会(FTC)はこのほど、Log4Shellに対して顧客データのセキュリティを確保していない米国企業に対しては法的措置をとると警告した。

2021年12月に初めて発見されたこの「深刻な」脆弱性は、ますます多くの攻撃者によって悪用されており、何百万もの消費者製品に「深刻なリスク」をもたらすと、FTCは警告している。この公開書簡は、消費者に被害が及ぶ可能性を低減し、法的措置の可能性を回避するために、組織に対して脆弱性を緩和(ソフトウェアの最新バージョンへのアップデート)するよう組織に要請しています。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

「脆弱性が発見され悪用された場合、個人情報の紛失・漏洩、金銭的損失、その他取り返しのつかない損害を被る危険性がある。既知のソフトウェアの脆弱性を軽減するために合理的な措置を講じる義務は、特に連邦取引委員会法およびグラム・リーチ・ブライリー法を含む法律に関係するものである。 Log4jに依存している企業やそのベンダーが、消費者に被害を与える可能性を減らし、FTCの法的措置を回避するために、今すぐ行動することが重要だ」とFTCは述べている。

FTCは、2017年にApache Strutsの既知の欠陥のパッチを怠り、消費者1億4700人の機密情報の侵害が起こったEquifaxの例を挙げている。その信用報告機関はその後、FTCとそれぞれの州に7億ドル(約810億円)を払う示談に合意した

さらにFTCは「Log4jや同様の既知の脆弱性の結果として、消費者データを露出から保護するための合理的な措置を講じていない企業を追及するために、完全な法的権限を行使する意向だ」と述べ、「今後同様の既知の脆弱性」が発生した場合に消費者を保護するために法的権限を適用する計画だと付け加えた。

FTCは、数百万ドル(数億円)規模の罰金を回避したい企業に対して、米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)が発行したガイダンスに従うよう促している。これにより、企業はLog4jソフトウェアパッケージを最新バージョンにアップデートし、脆弱性を緩和するための対策を講じ、脆弱性の可能性があるサードパーティーやコンシューマーに脆弱性に関する情報を配布する必要がある。

このFTCによる警告射撃は、Microsoftが今週、Log4Shellの脆弱性が依然として企業にとって「複雑で高リスク」の状況にあると警告し、「12月最後の数週間、悪用の試みとテストは高いままであり、低スキルの攻撃者と国民国家の行為者が同様にこの欠陥を利用している」と述べたことを受けてのものだ。

関連記事:インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

「現時点では、悪用コードやスキャン機能が広く出回っていることが、顧客の環境にとって現実的な危険であると考えるべきでしょう。影響を受けるソフトウェアやサービスが多く、更新のペースも速いため、修復には長い時間がかかると予想され、継続的な警戒が必要です」とMicrosoftとは述べている。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル(数億円)の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会(FTC)からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル(約1兆3242億円)のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル(約5412億円)の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル(約625億円)のシリーズAと、Laceworkの5億2500万ドル(約605億円)のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt(トム・バート)氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)